GDPR (General Data Protection Regulation) er et sæt reguleringer der blev vedtaget af det europæiske parlament i 2016, og implementeret i 2018.
GDPRs funktion er at beskytte private borgeres privatliv og sikkerhed, ved at regulerer virksomheder- og institutioners adgang, brug og opbevaring af digitalt opbevarede personoplysninger. Men det kan være en ren jungle at forstå. Har du brug for hjælp til GDPR? Alt du har brug for at vide, bliver her forklaret kort og kontant i den alfabetiske guide til GDPR.
Disse består af almindelige, basale informationer om en identificeret eller identificerbar, fysisk person. Dette gælder også, selvom identifikationen af personen kun kan ske ved kombination af flere oplysninger.
Personoplysninger er ofte indsamlet gennem tilmelding til et nyhedsbrev, online køb eller lignende.
Et par eksempler:
Personoplysninger inddeles i tre kategorier: almindelige, fortrolige og følsomme.
Artikel 30 er hele grundlaget for GPDR. Den blev indført i 2018, og står som den primære europæiske lovgivning på området om behandling af personoplysninger.
Enhver enhed, der har et CVR-nummer skal udarbejde en fortegnelse ifølge Artikel 30’s retningslinjer.
Fortegnelsen er et krav fra GDPR-lovgivningen samt datatilsynet.
En bredt term, der indikerer når personoplysninger behandles, skal det blot forstås, at der sker en forandring i forholdet mellem personoplysninger og fortegnelsen.
F.eks. behandles oplysninger når man indsamler, registrerer, bruger, opbevarer, videregiver og sletter personlige informationer.
Behandlingsgrundlaget er din begrundelse, dit fundament, for at måtte behandle personoplysninger.
Behandling af personoplysninger må kun ske, hvis man har et lovligt behandlingsgrundlag.
Der er generelt et gyldigt behandlingsgrundlag, hvis mindst ét af følgende forhold gør sig gældende:
En længere uddybning kan findes i GDPR, artikel 6, stk. 1.
Under behandlingen af følsomme personoplysninger er en ekstra begrundelse nødvendig. Man skal derfor også identificere en undtagelse, såsom:
Når personoplysninger bliver offentliggjort, delt med uvedkommende, videregivet eller på anden vis gjort tilgængelig for uvedkommende personer. Dette kan udløse juridiske konsekvenser og/eller bøder.
Compliance er et låneord fra engelsk, der i GDPRs tilfælde betyder en overholdelse af regler eller efterlevelse af de retningslinjer den enkelte virksomhed har indført.
En del virksomheder (f.eks. Pengeinstitutterne i Danmark havde retningslinjer, som de allerede var compliant med. Da GDPR blev indført, blev de allerede etablerede compliance regler selvfølgelig ændret, så de passede med Artikel 30.
Derfor kan ordet compliance opstår i nogle tilfælde, som et artefakt fra før GDPR blev indført.
Internetcookies er små bidder af tekstdata, der downloades til din computer når man f.eks. besøger en webshop. De bruges til at identificere din computer og dit netværk, så der er en konsekvent ide om, hvad der på internettet udgør dig.
Når du derefter besøger en ny hjemmeside, kan den hjemmeside kigge på de cookies, du har på din device, og derved anvende dem igennem dit besøg.
Cookies bruges ofte som redskab til at specialisere reklamer og annoncer på internettet til mulige kunder. De cookies, altså oplysninger, der kan blive gemt inkluderer:
Når cookies anvendes, skal de følge en serie af retningslinjer, der sørger ikke bare for kun at få de rigtige personoplysninger, men også informerer brugeren om hvilke personoplysninger de opgiver.
Alle typer af cookies udover “nødvendige” skal brugeren selv markere.
CPR-numre anses som en fortrolig personoplysning.
Personnumre må ikke offentliggøres jf. databeskyttelsesloven § 11.
Fortrolige oplysninger er underlagt særlige krav, og sådanne oplysninger må f.eks. kun sendes via e-mail, hvis der anvendes kryptering.
En virksomhed eller myndighed, der behandler personoplysninger på vegne af en eller flere dataansvarlige.
Det vil sige, den enhed der samler, opbevarer eller på anden måde behandler data. Databehandleren står blot for behandlingen af data.
En virksomhed eller myndighed, der behandler personoplysninger og afgør, hvilke formål og med hvilke hjælpemidler personoplysningerne må behandles.
Det vil sige, at den dataansvarlige er den enhed, der træffer valg og afgør, om der er behandlingsgrundlag for at behandle data. Det er denne enhed, der er ansvarlig for at have et sikkert grundlag for databehandling.
Den aftale, der skal indgås mellem den dataansvarlige og databehandleren, som skal sikre, at personoplysninger behandles og beskyttes efter gældende lovgivning.
Databehandling er alle handlinger, hvor personoplysninger indgår. Listen over handlinger, der anses som databehandling er nærmest uendelig, men her er et par eksempler.
Den formelle titel på forordningen, der i daglig tale kaldes GDPR. Den fandt konkret indførsel den 25. maj 2018.
Et databrud defineres som et brud på den sikkerhed, der er forventet af den dataansvarlige, og at dette brud har ført til både tilfældig og ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
Det vil sige, at hvis en databehandler eller dataansvarlig har et lager af data, fx. passwords eller CPR-numre, og det bliver lækket til offentligheden (eller udenfor databehandleraftalen), så konstituere det et databrud.
I bund og grund handler et databrud om, at uautoriserede personer har opnået data, der skulle have været slettet, krypteret eller sikret bedre.
Databrud skal indberettes indenfor 72 timer efter databruddet er kendt.
Datatilsynet har blandt andet en vejledning til håndtering af databrud.
Datadysten:
Datadysten. Der skal også være tid til leg og sjove spil, derfor er anbefalingen herfra at I skal prøve Datadysten fra datatilsynet. På den måde kan I få lidt leg og sjov med ind i arbejdet med at bliver klogere på GDPR. Se Datadysten.
Man må kun indsamle tilstrækkelige, relevante og nødvendige data om personer. Der må således ikke indsamles data, der er unødvendige i forhold til formålet, samtidigt med at behandlingen af data skal ske på et egnet grundlag.
Der skal derfor, når der indsamles oplysninger, ske en konkret vurdering af hvilke data, der er relevante for at opfylde formålet med indsamlingen.
Den registrerede har ret til at modtage og flytte sine personoplysninger, når følgende to betingelser er opfyldt:
Den samlede vejledning om emnet kan læses i ”Vejledning om de registreredes rettigheder”
Den person, som henføres til, og som den enkelte virksomhed har indsamlet data om. Dette er forbrugeren eller den registrerede.
Datasikkerhed er en generel betegnelse for alle foranstaltninger, man kan foretage for at vogte data og personoplysninger.
Herunder kryptering, sletning af unødvendige data, ændring af passwords, etc.
Den offentlige tilsynsmyndighed, der fører tilsyn med overholdelse af GDPR.
Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at Databeskyttelsesforordningen overholdes.
Datatilsynet består af et råd – Datarådet – og et sekretariat.
Datarådet træffer afgørelse i konkrete sager af principiel karakter, mens sekretariatet varetager Datatilsynets daglige drift.
En DPIA, også kaldt en konsekvensanalyse, er en proces vedrørende databeskyttelse, der har til formål at beskrive behandlingen af data, vurdere nødvendigheden af behandlingen samt proportionaliteten, og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder.
En DPIA er således en analyse af, hvordan den behandlede data kan have konsekvenser for fysiske menneskers rettigheder. Derfor er en DPIA tæt forbundet med risikovurdering.
Forkortelse for Data Protection Officer (på dansk databeskyttelsesrådgiver). En DPO skal rådgive den dataansvarlige om de databeskyttelsesretlige regler og på bedste vis understøtte god databeskyttelse hos den dataansvarlige.
En DPO er nødvendig i en privat virksomhed når de tre følgende betingelser er opfyldt:
I det omfang behandling foretages af en offentlig myndighed eller et offentligt organ skal myndigheden eller organet altid have en databeskyttelsesrådgiver, hvad enten de er dataansvarlige eller databehandlere.
I maj 2018 trådte den generelle forordning om databeskyttelse i kraft, og dermed fik alle virksomheder, som opererer i EU, et regelsæt, som de skal følge, uanset hvor i verden de er etableret.
Erhvervsstyrelsen informerer og vejleder om, hvordan man kan overholde loven og fører tilsyn med, at cookiereglerne bliver overholdt.
Dette dokument er det vigtigste i GDPR og alle processer involveret i lovgivningen.
Databeskyttelsesforordningen stiller krav om, at alle dataansvarlige og databehandlere fører interne fortegnelser over deres behandling af personoplysninger.
Fortegnelsen er en liste over behandlingsaktiviteter, og mere specifikt, de formål man har med dataoplysningerne der bliver behandlet.
At danne en fortegnelse er et krav ift. GDPR, og anses som en forlængelse af databeskyttelsesforordningens øgede fokus på ansvarlighed (“accountability”).
Datatilsynet har blandt andet en uddybet vejledning til udformning af en fortegnelse.
Fortrolige personoplysninger er underlagt særlige krav, og sådanne oplysninger må f.eks. kun sendes via e-mail, hvis der anvendes kryptering.
Fortrolige personoplysninger er f.eks. CPR-numre.
Følsomme personoplysninger er særligt personlige oplysninger, som nyder ekstra stærk beskyttelse i GDPR. Det kommer til udtryk i form af flere krav til, hvornår disse personoplysninger må behandles. Følsomme personoplysninger er bl.a.
Disse personoplysninger skal have yderligere begrundelse før de må behandles.
Forkortelse for General Data Protection Regulation.
På dansk kaldes den også Databeskyttelsesforordningen eller Persondataforordningen.
GDPR er som en ansvarsforsikring på din bil, den skal være der, idet det er lovpligtigt, men du forventer aldrig at skulle bruge den. Det, som du skal have på plads i forbindelse med GDPR er en Artikel 30/ Fortegnelse, som du skal have klar inden Datatilsynet melder sin ankomst. Derudover skal den kunne fremsendes eller vises frem, når det ønskes fra Datatilsynet eller Erhvervsstyrelsen (de varetager opgaven med kontrol af bl.a. Cookies). En artikel 30 skal udover at vise hvordan din virksomhed behandler de forskellige persondata der indsamles, skal den også indeholde en risikovurdering af de enkelte IT-systemer.
Der findes en del forskellige GDPR- kurser og mange af dem er også gode. GDPR-Regler.dk afholder også kurser i GDPR, vi afholder to forskellige typer af GDPR-kurser:
Et af de spørgsmål, som typisk kommer ved webinarer, kurser eller til netværksmøder er at “Det der GDPR er nok meget godt, men det er jo kun for banker og andre store virksomheder, og ikke sådanne nogle som mig”. Desværre, GDPR gælder for alle der behandler persondata, hvilket alle virksomheder gør. Tommelfingerreglen er: Har du et CVR-nummer? så behandler du persondata og skal leve op til GDPR lovgivningen, dvs. der skal udarbejdes en fortegnelse / Artikel 30.
Datatilsynet har i foråret 2023, den giver masser af god inspiration til hvad GDPR er for en opgave samtidig er der masser af gratis hjælp at hente hos GDPR for små virksomheder (datatilsynet.dk).
Generelt beskriver ordet hacking et brud på data- og digitalsikkerhed, idet en person har fået uautoriseret adgang til en computer eller et digitalt system.
I GDPR-verdenen betyder det oftest, at en uautoriseret person har opnået adgang til generelle, følsomme eller fortrolige personoplysninger.
Hvis du er i tvivl om en hjemmeside er en du kan stole på, kan du www.tjekpånettet.dk skrive navnet på den hjemmeside, du gerne vil kontrollere og se hvilken sikkerhedsrisiko den bliver vurderet til. En nyttig side, specielt ved e-handel/ webshops.
Henvender sig til informations flowets sikkerhed. E-mails der indeholder personfølsomme oplysninger skal fx være krypterede. Dette er et vigtigt punkt for GDPR generelt.
En forbruger, der har fået deres data behandlet af en virksomhed, har krav på at anmode om indsigt i den data der er gemt.
Som udgangspunkt har man ret til at se de personoplysninger, den dataansvarlige behandler om en selv. Herunder har man også en ret om at få en kopi af disse oplysninger udleveret gratis.
Desuden har man også ret til at få en række oplysninger om, hvordan ens personoplysninger behandles, hvad formålet med behandlingen er, hvem personoplysninger deles med, etc.
Små iværksættere er nok den svageste gruppe ift. GDPR sikkerhed. Rådgivning er dyrt, og kan ofte ses som en udgift, der hverken er vigtig eller relevant. Oprettelsen og vedligeholdelsen af sikker behandling af personoplysninger er dog lovpligtig, og manglen kan udløse store bøder.
Hvis din virksomhed er under 2 år gammel og du kun har dig selv og evt. 1 ansat, kan du undgå at betale en formue får GDPR-rådgivning ved at se vores tilbud om rådgivning her.
Elektronisk sags- og dokumenthåndtering (ESDH) er det overordnede term for det system, der hjælper med at sikre journaliseringen af behandlingen af personoplysninger.
Der findes mange forskellige systemer, med forskellige fordele og styrker. Valget af det rigtige system afhænger ofte af hvilken branche man arbejder i.
Et dokument og analyse, der skal udarbejdes, hvis behandlingen af specifikke personoplysninger sandsynligvis vil indebære høj risiko for den registrerede person.
Konsekvensanalysen skal beskrive og analysere de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Personoplysninger med høj risiko kan f.eks. være:
Konsekvensanalysen er tæt forbundet med en DPIA.
Lexoforms er en IT-cloud platform, hvor alle dine GDPR-dokumenter til brug for etablering af en virksomheds interne fortegnelse / artikel 30 kan ligge i et lukket system.
Det vil sige at Lexoform lader en sikkert skabe, gemme og ændre i fortegnelsen, da det lukkede system ikke kan åbnes udefra.
En log i GDPR-verdenen er et dokument over de hændelser (mindre databrud), der sker i dagligdagen. Herunder dokumenteres det også, hvad man har gjort for at det ikke sker igen og/eller hvad man har gjort for at mitigere risici.
Det er lovpligtigt for en virksomhed at føre sådan et dokument.
MitId er en login løsning til de platforme der kræver forhøjet sikkerhed.
At mitigere betyder at gøre noget mindre eller mildere.
En mitigerende handling i GDPR-verdenen er en handling der har til hensigt at minimere risici for forbrugere, og dermed også virksomheden selv.
Behovet for mitigerende handlinger kan opstå når en virksomhed har med følsomme personoplysninger at gøre.
Mitigerende handlinger indgår også i sikringen af former for databrud, som for eksempel 2-trins-verifikation ved log-in. Dette sørger for at hvis et databrud skulle ske, så er det sværere for uautoriserede personer at få adgang til konti eller yderligere information om en forbruger.
Oplysningspligten betyder, at den dataansvarlige på eget initiativ har pligt til at give den registrerede en række oplysninger, når den dataansvarlige indsamler personoplysninger om vedkommende, herunder bl.a. oplysninger om identitet og kontaktoplysninger for den dataansvarlige og oplysninger om formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen.
Typisk er denne side placeret nederst på en hjemmeside under navnet “Personlivspolitik”.
Personoplysninger skal slettes eller gøres anonyme, når det ikke længere er nødvendigt for den dataansvarlige at have oplysningerne eller den i artikel 30 / Fortegnelsen beskrevne slette regel er nået.
Der er derfor en begrænsning på, hvad en dataansvarlig må opbevare.
Her refereres der til overførsler af personoplysninger til andre lande uden for EU, kaldet 3. lande. Da disse lande ikke nødvendigvis har lovgivning om personoplysninger, deres lovgivning er anderledes eller svagere end den europæiske, så skal der udføres en konsekvensanalyse og mitigerende handlinger skal tages for at beskytte personoplysninger.
Vilkårlig information om en identificeret eller identificerbar, fysisk person.
Personoplysninger er ofte indsamlet gennem tilmelding til et nyhedsbrev, online køb eller lignende. De kan også være indsamlet af fx forsikringsselskaber eller arbejdsgivere.
Et par eksempler:
Personoplysninger er desuden kategoriseret i tre forskellige intervaller: almindelige, følsomme, og fortrolige.
Persondataloven trådte i kraft den 1. juli 2000. Datatilsynet er den offentlige myndighed, der fører tilsyn med, at persondataloven overholdes. Persondataloven er ikke længere gældende i Danmark efter indførelsen af GDPR.
Læs en beskrivelse af de grundlæggende begreber i persondataloven.
Typisk anvendes ordet Persondatasikkerhed i forbindelse med at der er sket et brud på Persondatasikkerheden, dvs. der er sket en deling af persondata, f.eks. e-mails med CPR-numre til uautoriserede personer.
En privatlivspolitik er typisk placeret på en dataansvarliges hjemmeside og har til formål at informere forbrugeren om, hvilke data der indsamles, hvilke grundlag der ligger for dataindsamling, samt hvem der er dataansvarlig.
Privatlivspolitikken skal min. indeholde følgende oplysninger:
Når personoplysninger pseudonymiseres, bliver de behandlet på sådan en måde, at de ikke længere kan henføre direkte til en identificerbar person uden andre supplerende oplysninger.
Det betyder, at personoplysningerne får en slags “maske” på, der giver ekstra beskyttelse. F.eks. kan et navn erstattes med “ABC123.”
Trods masken er det stadigvæk en personoplysning, hvis koden kan føre tilbage til den oprindelige personoplysning.
Questions & Answer: husk at du altid kan sende dine Q( Spørgsmål sendes til info@GDPR-Regler.dk), også sørger vi for et svar til dig.
Den registrerede er personen (borgeren, brugeren, medarbejderen), hvis data opbevares og behandles.
Synonymt med datasubjekt.
Risikovurderingen er en obligatorisk del af fortegnelsen og skal kunne fremvises ved en forespørgsel fra Datatilsynet.
Risikovurdering er en kortlægning af de risici, databehandlingen medfører, f.eks. overfor den registreredes rettigheder.
Hvordan risikovurderingen skal udarbejdes, er der ingen krav om, men følgende indhold skal være dækket, jævnfør Datatilsynets hjemmeside:
En samtykkeerklæring er den dataansvarliges dokumentation på, at den registrerede bruger er vidende om de personoplysninger, der indsamles.
Samtykkeerklæringen bygger på informeret, aktivt samtykke. Det vil sige, at tilmeldingen til et nyhedsbrev skal præsenteres som sådan, og at feltet, hvor brugeren kan sige ja/nej til tilmeldingen, ikke allerede har et flueben.
Det samme gør sig gældende hvis der f.eks. er flere ting, som kan krydses og gives samtykke til. F.eks. to forskellige nyhedsbreve, der fortæller om to forskellige produkter.
Datatilsynet har blandt andet en uddybet vejledning.
Sletning er en behandling af personoplysninger, der sikrer, at de ikke længere er tilgængelige. Dvs. at de fjernes fra en database.
Sletning er en af de vigtigste områder at en dataansvarlig har styr på, specielt i henhold til den registreredes ret til at blive glemt.
Det forventes desuden at der er en slettefrist, og at når den frist er nået, så skal personoplysningerne være slettet, enten automatisk eller manuelt. Denne frist skal være beskrevet i virksomhedens fortegnelse. Der skal slettefristerne være opdelt, idet der kan være forskellige slettefrister for medarbejdere, kunder og leverandører.
Nedenstående er 8 særlige typer personoplysninger, den dataansvarlige skal være ekstra opmærksom på i forhold til både behandling og indsamling.
Forkert behandling af disse typer personoplysninger kan medføre en fordobling af en eventuel bøde.
Datatilsynet er tilsynsmyndigheden for GPDR-lovgivningen i Danmark.
Hver medlemsstat i EU skal, i henhold til GDPR-lovgivningen, sikre at en eller flere offentlige myndigheder er ansvarlige for tilsyn af persondatabeskyttelse.
Et tredjeland er et land uden for EU og EØS-samarbejdet.
Hvis persondata overføres til et tredjeland, gælder der særlige regler og grundlag for overførsel af personoplysninger.
Baggrunden for disse regler skal findes i at sikre den registreredes oplysninger, også når data flyttes uden for EU samt de lande, som der er opnået en aftale med. De er derfor benævnt ”sikkert tredjeland.”
F.eks. er Storbritannien og Argentina begge sikre tredjelande. Det betyder, at de forholder sig til GDPR-lovgivningen efter aftale med EU.
Datatilsynet har blandt andet en uddybet liste over sikre tredjelande.
Der sker ofte fejl i forbindelse med styring af adgange til IT-systemer og drev. Som dataansvarlig skal du sikre dig, at kun de rette har adgang, herunder at der er en bruger adgang vedr. hvem der har adgang til hvilke mapper på fællesdrevet.
Derfor skal det overvejes, om der behov for procedurer for adgangskontrol, logning af brugernes adgang i systemerne er et naturligt krav at stille til sin leverandør samt løbende kontrol af, om det over tid stadig er de rigtige, der har adgang. Samtidig skal der årligt ske en evaluering om det er de rette medarbejdere, der har de forskellige adgange.
Fra 17. december 2023 skal arbejdspladser med minimum 50 ansatte have etableret en whistleblowerordning.
Denne ordning skal give de ansatte en sikker kanal, hvor de kan rapportere brud på GDPR-lovgivningen og seriøse lovovertrædelser.
Mere information kan findes hos Den Nationale Whistleblowerordning.
.
Ordbogen bliver opdateret hver uge med nye forklaringer. Sidste opdatering skete d. 8. april 2025.
GDPR-REGLER.DK
Rene Nørbjerg – GDPR rådgiver
Slotsmarken 18
DK-2970 Hørsholm
Cvr: 42720062
Cookiepolitik
Privatlivspolitik
Handelsbetingelser
ESG
© 2022-2024 GDPR-REGLER.DK